گواهینامه ها و کارگزار خدمات

این مبحث توضیح می دهد که چگونه SQL Server از گواهی ها برای امنیت از راه دور Service Broker استفاده می کند. امنیت از راه دور Service Broker به عملیاتی اطلاق می شود که شامل بیش از یک نمونه SQL Server می شود، زمانی که این عملیات از امنیت گفتگو یا امنیت حمل و نقل استفاده می کند.

بررسی اجمالی

امنیت از راه دور Service Broker یک عملیات را از خارج از یک نمونه به یک پایگاه داده اصلی SQL Server نگاشت می کند. سپس عملیات در زمینه امنیتی آن پایگاه داده اصلی، با بررسی های معمول مجوز SQL Server ادامه می یابد. به عنوان مثال، هنگامی که پیامی برای مکالمه ای می رسد که از امنیت گفتگو استفاده می کند، Service Broker از اطلاعات موجود در پیام برای شناسایی یک پایگاه داده اصلی برای سمت راه دور مکالمه استفاده می کند. سپس SQL Server تأیید می کند که مدیر اصلی مجوز اتصال به پایگاه داده میزبان سرویس مقصد و اجازه ارسال پیام به سرویس مقصد را دارد.

SQL Server از گواهی ها برای تأیید هویت یک پایگاه داده راه دور و شناسایی اصلی پایگاه داده محلی برای عملیات استفاده می کند. بنابراین، نصب یک گواهی در SQL Server یک بیانیه اعتماد در پایگاه داده ای است که کلید خصوصی گواهی را نگه می دارد. گواهی هایی را که نصب می کنید و اتصالات سرویس راه دوری که ایجاد می کنید با دقت مدیریت کنید.

فقط گواهی ها را از منابع مطمئن نصب کنید. کلیدهای خصوصی را توزیع نکنید.

برای تأیید هویت یک سرور راه دور، SQL Server باید اطلاعاتی را دریافت کند که بتوان آن را با کلید عمومی در گواهی متعلق به یک اصلی پایگاه داده محلی رمزگشایی کرد. اگر SQL Server بتواند اطلاعات را با موفقیت رمزگشایی کند، به این معنی است که پایگاه داده راه دور حاوی کلید خصوصی است که با کلید عمومی در گواهی محلی مطابقت دارد. هنگامی که SQL Server هویت یک پایگاه داده راه دور را تأیید کرد، پایگاه داده راه دور می تواند با مجوزهای اصلی پایگاه داده محلی عمل کند.

برای امنیت حمل و نقل، هر پایگاه داده باید به پایگاه داده دیگر اعتماد کند. امنیت حمل و نقل می تواند از گواهی ها یا تأیید هویت ویندوز استفاده کند. برای اطلاعات بیشتر در مورد امنیت حمل و نقل، به امنیت حمل و نقل کارگزار خدمات مراجعه کنید.

برای امنیت گفتگو ، آغازگر گفتگو باید به هدف اعتماد کند و باید بتواند هویت هدف را تأیید کند. با این حال ، هدف ممکن است اتصالات مبتکران را که اطلاعات شناسایی را ارائه نمی دهند ، اجازه دهد. در این حالت ، مبتکران از نقش عمومی در پایگاه داده ای که میزبان سرویس هدف است استفاده می کنند. امنیت گفتگو همیشه از گواهینامه ها استفاده می کند. برای اطلاعات بیشتر در مورد امنیت گفتگو ، به امنیت گفتگوی کارگزار خدمات مراجعه کنید.

SQL Server روشهای خودکار را برای پیکربندی امنیت کارگزار خدمات با استفاده از گواهینامه ها ارائه نمی دهد.

گواهینامه های گواهینامه

برای استفاده برای امنیت کارگزار خدمات ، یک گواهی باید شرایط زیر را برآورده کند:

• مدول کلیدی باید کمتر از 2048 باشد.
• طول کل گواهی باید کمتر از 32 کیلوبایت (KB) باشد.
• یک نام موضوع باید مشخص شود.
• تاریخ اعتبار باید مشخص شود.
• طول کلید باید از 64 بیت باشد.

یک گواهینامه خود امضا شده با بیانیه Transact-SQL ایجاد گواهی ، الزامات موجود در لیست قبلی را برآورده می کند. گواهینامه هایی که از یک پرونده بارگیری می شوند ممکن است این شرایط را برآورده نکنند.

هنگامی که گواهینامه در SQL Server ذخیره می شود ، گواهی باید با کلید اصلی برای بانک اطلاعاتی رمزگذاری شود. کارگزار سرویس نمی تواند از گواهینامه هایی استفاده کند که فقط با رمز عبور رمزگذاری می شوند. همچنین ، کلید اصلی پایگاه داده باید به عنوان مثال با کلید سرویس رمزگذاری شود. در غیر این صورت ، کارگزار سرویس نمی تواند کلید اصلی را باز کند.

برای اینکه SQL Server برای شروع مکالمه از یک گواهی استفاده کند ، گواهی باید برای شروع_دیاگ فعال باشد. گواهینامه ها به طور پیش فرض به عنوان فعال برای گفتگوی شروع می شوند. با این حال ، شما می توانید ضمن به روزرسانی پیکربندی امنیتی برای یک سرویس ، یک گواهی را به طور موقت غیرفعال کنید. برای اطلاعات بیشتر ، به ایجاد گواهینامه (Transact-SQL) و تغییر گواهی (Transact-SQL) مراجعه کنید.

همچنین ببینید

• ایجاد گواهی (Transact-SQL)
• سلسله مراتب رمزگذاری
• پروتکل های ارتباطی کارگزار
• اتصالات سرویس از راه دور
• گواهینامه های امنیت گفتگو